Za rozwijającym się cyberatakiem na partnera laboratoryjnego służby zdrowia Synnovis, prawdopodobnie stoi rosyjski gang systemu ransomware Qilin, mający motywy finansowe. zakłócając funkcjonowanie podstawowej opieki zdrowotnej w południowym Londynie i zmusił NHS do ogłoszenia zdarzenia krytycznego.
Atak, wykryty po raz pierwszy w poniedziałek 3 czerwca, dotknął szereg trustów NHS, w szczególności Guy’s and St Thomas’ NHS Foundation Trust (w tym szpitale Royal Brompton i Evelina) oraz King’s College NHS Foundation Trust, ale także fundusz South London i Maudsley NHS Foundation Trust i Oxleas NHS Foundation Trust, a także przychodnie lekarskie, kliniki i usługi w Bexley, Bromley, Greenwich, Lambeth, Lewisham i Southwark, z których wszystkie korzystają z usług Synnovis.
Rozmawiam z BBC Program dzisiaj w środę 5 czerwca były dyrektor naczelny Narodowego Centrum Cyberbezpieczeństwa (NCSC). Ciarana Martina powiedział, iż w tej chwili panuje przekonanie, iż za incydentem stoi Qilin.
Martin powiedział, iż gang prawdopodobnie po prostu szukał szybkiej zemsty i prawdopodobnie nie spodziewał się, iż spowoduje tak intensywne zakłócenia, atakując Synnovis. Stwierdził, iż jest mało prawdopodobne, aby gang otrzymał jakiekolwiek pieniądze dzięki polityce rządu Wielkiej Brytanii, która nie pozwala organizacjom sektora publicznego na płacenie okupów, chociaż zauważył, iż Synnovis jako organizacja sektora prywatnego nie podlega takim ograniczeniom.
Jeden z pacjentów, który w tym tygodniu miał przejść operację serca, powiedział BBC, iż o odwołaniu operacji dowiedział się w ostatniej chwili, gdy chirurg, który miał przeprowadzić zabieg, powiedział mu, iż wystąpił problem z bankiem krwi.
Mark Dollar, dyrektor generalny firmy Synnovis, która powstała jako wspólne przedsięwzięcie niemieckiego specjalisty ds. usług diagnostyki laboratoryjnej Synlab i zaangażowane fundusze NHS przeprosiły za zakłócenia.
„Jest nam niezmiernie przykro z powodu niedogodności i zdenerwowania, jakie ta sytuacja powoduje dla pacjentów, użytkowników usług i wszystkich innych osób, których to dotyczy. Robimy, co w naszej mocy, aby zminimalizować wpływ i pozostaniemy w kontakcie z lokalnymi służbami NHS, aby informować ludzi na bieżąco o rozwoju sytuacji” – powiedział Dollar.
Potwierdził, iż Synnovis rzeczywiście miał do czynienia z atakiem systemu ransomware, ale stwierdził, iż jest to jeszcze początek i organizacja przez cały czas pracuje nad ustaleniem faktów związanych z incydentem.
Jest to ostre przypomnienie, iż tego rodzaju atak może przydarzyć się każdemu w dowolnym momencie i że, co przygnębiające, osoby za nim stojące nie mają żadnych skrupułów co do tego, na kogo mogą wpłynąć ich działania
„Grupa zadaniowa złożona z ekspertów IT z Synnovis i NHS pracuje nad pełną oceną wpływu tej sytuacji i podjęciem odpowiednich niezbędnych działań. Ściśle współpracujemy z partnerami powierniczymi NHS, aby zminimalizować wpływ na pacjentów i innych użytkowników usług… Niestety ma to wpływ na pacjentów, ponieważ niektóre działania zostały już odwołane lub przekierowane do innych świadczeniodawców, ponieważ priorytetem są pilne prace” – powiedział.
„W firmie Synnovis bardzo poważnie podchodzimy do bezpieczeństwa cybernetycznego i poczyniliśmy znaczne inwestycje w zapewnienie maksymalnego bezpieczeństwa naszych rozwiązań IT. To dotkliwe przypomnienie, iż tego rodzaju atak może przydarzyć się każdemu w dowolnym momencie i iż – co przygnębiające – osoby za nim stojące nie mają żadnych skrupułów co do tego, na kogo mogą wpłynąć ich działania” – stwierdził Dollar.
Rzecznik NHS England – London Region powiedział: „W poniedziałek 3 czerwca firma Synnovis, dostawca usług laboratoryjnych, padła ofiarą cyberataku wykorzystującego oprogramowanie ransomware.
„Ma to znaczący wpływ na świadczenie usług w Guy’s and St Thomas’, funduszach fundacji King’s College Hospital NHS Foundation Trusts oraz na usługi podstawowej opieki zdrowotnej w południowo-wschodnim Londynie. Przepraszamy za niedogodności, jakie powoduje to dla pacjentów i ich rodzin.
„Opieka w nagłych przypadkach jest przez cały czas dostępna, dlatego pacjenci powinni korzystać z usług w normalny sposób, dzwoniąc pod numer 999 w nagłych przypadkach lub korzystając z numeru 111, a pacjenci powinni przez cały czas uczęszczać na wizyty, chyba iż otrzymają inne polecenie. Będziemy w dalszym ciągu dostarczać lokalnym pacjentom i społeczeństwu aktualne informacje na temat wpływu na usługi oraz tego, w jaki sposób mogą przez cały czas otrzymywać potrzebną opiekę”.
Incydent został zgłoszony organom ścigania i Biuru Komisarza ds. Informacji (ICO), a osoby zaangażowane otrzymały wsparcie od NCSC.
Coraz częściej atakowana jest służba zdrowia
Chociaż nie ustalono jeszcze, czy wiktymizacja Synnovis miała charakter oportunistyczny, czy też celowy, sektor opieki zdrowotnej jest jednym z najczęściej atakowanych przez gangi ransomware.
Rzeczywiście, według Blackfoga najnowszy miesięczny raport dotyczący systemu ransomware – obejmujący maj 2024 r. – jest w tej chwili „najczęściej” atakowany, z 57 znanymi incydentami w tym okresie, co oznacza wzrost o 30% w ciągu zaledwie kilku tygodni.
Systemy opieki zdrowotnej na całym świecie – nie tylko NHS – są szczególnie podatne na takie ataki z wielu powodów: przechowują ogromne ilości bardzo wrażliwych i cennych danych; często polegają na przestarzałej technologii, co jest szczególnie poważnym problemem dla wielu funduszy NHS; są w dużym stopniu narażone na ryzyko kompromisu ze strony zewnętrznych dostawców, jak miało to miejsce w tym przypadku; oraz dlatego, iż skupiają się przede wszystkim – i słusznie – na opiece nad pacjentem, mogą zaniedbać szkolenie personelu klinicznego w zakresie świadomości bezpieczeństwa.
Niemałym czynnikiem wpływającym na liczbę ataków jest fakt, iż amerykańskie systemy opieki zdrowotnej, prowadzone przez prywatne przedsiębiorstwa dla zysku, a nie przez państwo, nie mają żadnych ograniczeń prawnych w zakresie płacenia okupów i mogą być do tego bardziej zmotywowane, aby uniknąć zakłóceń.
Rosnące zagrożenie ze strony Qilin
Nazwana na cześć legendarnej chińskiej chimery załoga Qilin została po raz pierwszy zaobserwowana w 2022 r., ale w ostatnich miesiącach zaczęła się rozszerzać, wykorzystując luki powstałe w wyniku zakłóceń w operacjach takich jak LockBit i ALPHV/BlackCat.
Według Comparitech gang był odpowiedzialny za osiem potwierdzonych ataków w 2023 roku, a w tym roku przyznał się do ponad 30.
Operacja ransomware jako usługa wykorzystuje w tej chwili standardową taktykę podwójnego wymuszenia, aby wywrzeć presję na ofiary. Jego skrytka ransomware wykorzystuje wieloplatformowe języki kodowania Rust i Golang i rozprzestrzenia się głównie za pośrednictwem wiadomości e-mail typu phishing, chociaż wiadomo również, iż korzysta z ujawnionych aplikacji i interfejsów, w tym protokołu zdalnego pulpitu i Citrix.
Na początku 2024 r. zaatakował systemy brytyjskiego wydawcy i przedsiębiorstwa społecznego Wielki problemkradnąc ponad 500 GB informacji o personelu i partnerach, umowach oraz danych finansowych i inwestycyjnych.
